× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Antivirus Action et Spy hunterSujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
Camg
  Posté le 25/11/2010 @ 22:12 
Aller en bas de la page 
Petite astucienne

Bonjour

Voilà, un virus s'est installé sur mon ordi: Antivirus Action, un logiciel malveillant me bloquant tous les accès internet si je n'achète pas le produit...

Pour contrer le virus, je suis allée sur un autre ordinateur et j'ai trouvé un site qui m'indiquait une solution que j'ai essayée: installer Spy Hunter.
(http://fr.pcthreat.com/parasitebyid-12531fr.html)

Mais c'est un site qui propose une fausse solution, le logiciel ne marche que si on l'achète. J'ai essayé de le supprimer, mais l'application a mal fonctionné (il manquait un module) et des fenêtres s'ouvrent souvent pour installer le logiciel...

Donc je vous demande votre aide car je ne sais plus à quel site me fier... :s

Il me faut maintenant désinstaller de mon PC (windows XP) Antivirus Action ET Spy Hunter.
(Et mon antivirus est avast)

Merci de votre aide!

Publicité
moment de grace
 Posté le 25/11/2010 à 22:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

bonjour

fais ceci stp

1)

* Télécharge sur le bureau RogueKiller (par tigzy)

http://www.sur-la-toile.com/RogueKiller/

* Sous Vista/Seven,clique droit, lancer en tant qu'administrateur

Vous n'avez pas à cliquer dessus ou les lancer!

* Quitte tous tes programmes en cours

* Lance RogueKiller.exe.

* Lorsque demandé, tape 2 et valide

* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse

* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

...........................

Ne pas redemarrer

........................

puis

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder)

http://www.pcastuces.com/logitheque/malwarebytes_anti-malware.htm

. Enregistres le sur le bureau

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.

. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour

. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte

. Une fois la mise à jour terminé

. Rend-toi dans l'onglet, Recherche

. Sélectionnes Exécuter un examen complet (examen assez long)

. Cliques sur Rechercher

. Le scan démarre.

. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

. Cliques sur Ok pour poursuivre.

. Si des malwares ont été détectés, clique sur Afficher les résultats

. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.

. Rends toi dans l'onglet rapport/log

. Tu cliques dessus pour l'afficher, une fois affiché

. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous

. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse

. tu cliques droit dans le cadre de la reponse et coller

Si tu as besoin d'aide regarde ce tutoriel :

https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm

...............

2)

Télécharge ZHPDiag ( de Nicolas coolman ).

http://telechargement.zebulon.fr/zhpdiag.html

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message

Pour t"aider : https://forum.pcastuces.com/zhpdiag___zhpfix-f31s55.htm

Camg
 Posté le 25/11/2010 à 22:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Merci de m'aider!

Je suis déjà bloquée à l'étape 1... Il n'y a aucun rapport RKreport.txt qui s'affiche :s

Camg
 Posté le 25/11/2010 à 23:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Ah ça y est!

Le rapport de RogueKiller est:

RogueKiller V3.2.0 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Feedback: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
Mode: Scan -- Time : 25/11/2010 23:05:42

Bad processes:

Found:
HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:23012

Finished

Je poursuis vos instructions.

Camg
 Posté le 25/11/2010 à 23:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Rebonsoir!

Le rapport de Malwarebytes:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 5190

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25/11/2010 23:28:02
mbam-log-2010-11-25 (23-28-02).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 143871
Temps écoulé: 13 minute(s), 15 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\waktwox_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\waktwox_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\waktwox.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\waktwox.exe (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur\Local Settings\Temp\fynmojfip\hxkflbftsbl.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\syssvc.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Camg
 Posté le 25/11/2010 à 23:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir!

Mon dernier message ce soir: Le rapport de ZHPDiag:

http://www.cijoint.fr/cjlink.php?file=cj201011/cijSU46jiI.txt

J'espère que ça a marché!

Bonne lecture, c'est du chinois pour moi

Amicalement

moment de grace
 Posté le 26/11/2010 à 06:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

ok

1)

vider la quarantaine de MBAM

.............

• Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)

http://www.teamxscript.org/adremoverTelechargement.html

/!\ Déconnecte-toi d’internet et ferme toutes applications en cours /!\

<souligne> Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. </souligne>

- Double-clique sur l'icône Ad-remover située sur ton Bureau.

- Sur la page, clique sur le bouton «NETTOYER »

- Confirme lancement du scan

- Laisse travailler l’outil.

- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

...............

3)

Fais un nouveau rapport ZHPdiag stp

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

2)

tigzy
 Posté le 26/11/2010 à 07:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Salut vous 2

@MDG : Je passe juste en coup de vent car j'ai reçu une remontée par mail de l'auteur...

@Camg: Je pense qu'il manque une partie du rapport, car tu as donné un rapport quasi vide, et que l'infection n'est pas visible dans les rapports suivants. Donc elle a du être supprimée par RogueKiller, mais ce n'est pas dans le rapport.

Regarde si tu trouve le rapport RKreport.txt à côté de RogueKiller.exe, et colle le contenu intégral.

Puis relance RogueKiller en mode 2, et lorsque demandé pour le proxy, tape 1. tu récupérera ton accès au net

Camg
 Posté le 26/11/2010 à 12:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour!

@moment de grace: voici le rapport AD-Remover:

======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 11/11/10 à 11:40

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 12:04:33 le 26/11/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)

Utilisateur@UTILISAT-318D0E ( )

============== RECHERCHE ==============

Fichier trouvé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navigateur OfferBox.lnk

Dossier trouvé: C:\Documents and Settings\Utilisateur\Application Data\OfferBox

Dossier trouvé: C:\Program Files\OfferBox

Clé trouvée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}

Clé trouvée: HKLM\Software\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}

Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}

Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}

Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}

Clé trouvée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}

Clé trouvée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}

Clé trouvée: HKLM\Software\Classes\OfferBox.OfferBoxServer

Clé trouvée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1

Clé trouvée: HKLM\Software\OfferBox

Clé trouvée: HKCU\Software\OfferBox

Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\live-player

Clé trouvée: HKLM\Software\Classes\Installer\Products\5B4758C25396ECF468E04F8E063287FF

Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\5B4758C25396ECF468E04F8E063287FF

Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}

Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{2C8574B5-6935-4FCE-860E-F4E8602378FF}

Clé trouvée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

Valeur trouvée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com

============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Documents and Settings\Utilisateur\Application Data\Mozilla\FireFox\Profiles\03jejr94.default\Prefs.js --

browser.startup.homepage, hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official

browser.startup.homepage_override.mstone, rv:1.9.2.8

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]

Do404Search: 0x01000000

Enable Browser Extensions: yes

Local Page: C:\WINDOWS\system32\blank.htm

Search bar: hxxp://www.google.com/ie

Search Page: hxxp://www.google.com

Show_ToolBar: yes

Start Page: hxxp://www.google.f/

Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157

Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Delete_Temp_Files_On_Exit: yes

Local Page: C:\WINDOWS\system32\blank.htm

Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]

Tabs: res://ieframe.dll/tabswelcome.htm

Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 2 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 26/11/2010 (2395 Octet(s))

Fin à: 12:08:03, 26/11/2010

============== E.O.F ==============

Et le nouveau rapport ZHPdiag:

http://www.cijoint.fr/cjlink.php?file=cj201011/cij63w0WCc.txt



@Tigzy: J'ai déjà mon accès au net car j'ai supprimé la "configuration manuelle" de Proxy dans options internet comme dit dans le site (http://fr.pcthreat.com/parasitebyid-12531fr.html) la première fois. J'ai cependant refais un rapport RogueKiller qui est toujours aussi court que le premier!

RogueKiller V3.2.0 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Feedback: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
Mode: Scan -- Time : 26/11/2010 12:29:16

Bad processes:

Found:

Finished

Publicité
tigzy
 Posté le 26/11/2010 à 18:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Il fallait pas en refaire un (l'infection est partie) mais juste me donner le contenu intégral du fichier RKreport.txt (il y a plusieurs rapports à suivre dedans, colle le TOUT)

Camg
 Posté le 26/11/2010 à 21:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir,

Ci-joint le 1er rapport qui a été effectué:

http://www.cijoint.fr/cjlink.php?file=cj201011/cijUm6FdGX.txt

J'ai n'ai pas eu d'autres informations... Ou alors je m'y suis mal prise. Ce qui est fort possible, avec mon niveau informatique

Si avec toutes les informations et analyses que je vous ai envoyées, vous m'assurez que l'infection est partie, je peux confirmer la résolution du problème.

Et vous remercier chaleureusement (tous les deux ) de votre aide!

Une dernière question: j'utilise avast comme anti-virus qui n'est apparemment pas très efficace...

Auriez-vous un autre antivirus à me proposer??

moment de grace
 Posté le 27/11/2010 à 07:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

(salut tigzy, pas moyen de m'échapper et je viens de voir que c'était que le scan...)

................

ok

1)

relances Ad Remover

option NETTOYAGE

poster le rapport

..........

2)

Fais un nouveau rapport ZHPdiag stp

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Br_Fr
 Posté le 27/11/2010 à 09:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

Bonjour camg et moment de grace!

Bizarre que les liens donnés par camg pour les rapports sur le site ci-joint envoient ici

moment de grace
 Posté le 27/11/2010 à 09:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

salut à toi

(sourire)

toujours là....

............

ci joint a des soucis en ce moment, mais j'ai eu le temps de le lire entre deux...

@+

Camg
 Posté le 27/11/2010 à 13:41 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Hello!

Alors le rapport Ad Remover donne ceci:

======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 11/11/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 12:59:15 le 27/11/2010, Mode normal

Microsoft Windows XP Édition familiale Service Pack 3 (X86)
Utilisateur@UTILISAT-318D0E ( )

============== ACTION(S) ==============


Fichier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Navigateur OfferBox.lnk
Dossier supprimé: C:\Documents and Settings\Utilisateur\Application Data\OfferBox
Dossier supprimé: C:\Program Files\OfferBox

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}
Clé supprimée: HKLM\Software\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé supprimée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
Clé supprimée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}
Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer
Clé supprimée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1
Clé supprimée: HKLM\Software\OfferBox
Clé supprimée: HKCU\Software\OfferBox
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\live-player
Clé supprimée: HKLM\Software\Classes\Installer\Products\5B4758C25396ECF468E04F8E063287FF
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\5B4758C25396ECF468E04F8E063287FF
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{2C8574B5-6935-4FCE-860E-F4E8602378FF}
Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

Valeur supprimée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Documents and Settings\Utilisateur\Application Data\Mozilla\FireFox\Profiles\03jejr94.default\Prefs.js --
browser.startup.homepage, hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
browser.startup.homepage_override.mstone, rv:1.9.2.8

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 16 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 27/11/2010 (452 Octet(s))
C:\Ad-Report-CLEAN[2].txt - 27/11/2010 (730 Octet(s))
C:\Ad-Report-SCAN[1].txt - 26/11/2010 (3860 Octet(s))

Fin à: 13:01:52, 27/11/2010

============== E.O.F ==============

Et voici le lien du rapport ZHPdiag:

http://www.cijoint.fr/cjlink.php?file=cj201011/cijD6Edq7V.txt

Je pensais que la 2e infection était partie mais je continue à recevoir des messages de Spy Hunter...

Merci (encore) de continuer à m'aider dans tous les cas!

moment de grace
 Posté le 27/11/2010 à 13:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

je ne le vois pas

............

1)

Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

[HKCU\Software\ere94fe5o32]

Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

.............

2)

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

Télécharge ici :List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

si tu as XP => double clique

si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Fais de même avec more.txt qui se trouve sur ton bureau

Camg
 Posté le 27/11/2010 à 14:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Voici le rapport ZHPdiag:

Rapport de ZHPFix 1.12.3221 par Nicolas Coolman, Update du 20/11/2010

Fichier d'export Registre :

Run by Utilisateur at 27/11/2010 14:09:08

Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========

HKCU\Software\ere94fe5o32 => Clé supprimée avec succès

========== Récapitulatif ==========

1 : Clé(s) du Registre

End of the scan

En revanche, je n'arrive pas à accéder à Cijoint donc je ne peux pas vous envoyer le rapport de List_Kill'em!

Publicité
Br_Fr
 Posté le 27/11/2010 à 14:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

camg

tu peux utiliser ce site sur lequel aucun problème actuellement:

http://cjoint.com/

contrairement à cijoint.fr.....

Camg
 Posté le 27/11/2010 à 15:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Merci Gibrini13!

Donc voici le résultat du scan de List_Kill'em:

http://cjoint.com/?0lBpcdycJKK

et more.txt:

http://cjoint.com/?0lBpeIjBwrU

moment de grace
 Posté le 27/11/2010 à 17:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

(Merci Gibrini)

ok

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.

mais cette fois-ci :

choisis l'option CLEAN

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

colle le contenu dans ta reponse

redemarre le pc et dis ce qu'il en est



Modifié par moment de grace le 27/11/2010 17:10
Camg
 Posté le 27/11/2010 à 18:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

ça y est! Voici le rapport Kill'em:

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.2.0 ¤¤¤¤¤¤¤¤¤¤

User : Utilisateur (Administrateurs)
Update on 23/11/2010 by g3n-h@ckm@n ::::: 12.00
Start at: 17:32:56 | 27/11/2010

AMD Athlon(tm) 64 Processor 3200+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1368 [VPS 101029-2] 4.8.1368 [ (!) Disabled | (!) Outdated ]

C:\ -> Disque fixe local | 74,53 Go (22,36 Go free) | NTFS
D:\ -> Disque CD-ROM | 304,22 Mo (0 Mo free) [PS_AIO_NonNetwor] | CDFS


¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : \AUTOEXEC.BAT
Quarantined & Deleted !! : C:\Documents and Settings\All Users\Application Data\hpzinstall.log
Quarantined & Deleted !! : C:\Documents and Settings\All Users\Application Data\Installer.log
Quarantined & Deleted !! : C:\Documents and Settings\All Users\Application Data\ISx31.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET4.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET8.tmp
Quarantined & Deleted !! : C:\WINDOWS\system32\AbaleZip.dll
Quarantined & Deleted !! : C:\WINDOWS\System32\autorun.inf
Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn

¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1 localhost

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
Local Page = C:\WINDOWS\system32\blank.htm
Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = http://www.google.com/
Local Page = C:\WINDOWS\system32\blank.htm
Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
FirstRunDisabled = 1 (0x1)
AntiVirusDisableNotify = 0 (0x0)
FirewallDisableNotify = 0 (0x0)
UpdatesDisableNotify = 0 (0x0)
AntiVirusOverride = 0 (0x0)
FirewallOverride = 0 (0x0)

¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

Ndisuio : Start = 3
EapHost : Start = 2
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

¤¤¤¤¤¤¤¤¤¤ Winlogon

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = explorer.exe
Userinit = C:\WINDOWS\System32\userinit.exe,

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

FEATURE_BROWSER_EMULATION | svchost :
====================================


Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: Hitachi_HTS541680J9AT00 rev.SB2OA70H -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3

device: opened successfully
user: MBR read successfully

Disk trace:
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
1 ntkrnlpa!IofCallDriver[0x804EE130] -> \Device\Harddisk0\DR0[0x8256BAB8]
3 CLASSPNP[0xF86B6FD7] -> ntkrnlpa!IofCallDriver[0x804EE130] -> \Device\00000072[0x825939E8]
5 ACPI[0xF853C620] -> ntkrnlpa!IofCallDriver[0x804EE130] -> \Device\Ide\IdeDeviceP0T0L0-3[0x82594940]
kernel: MBR read successfully
user & kernel MBR OK



End of Scan : 17:35:23,70




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

moment de grace
 Posté le 27/11/2010 à 18:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

redemarre le pc et dis ce qu'il en est

Camg
 Posté le 27/11/2010 à 18:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Je n'ai pas revu de messages de Spy Hunter pour l'instant. J'espère que ça ne va pas réapparaître d'un moment à l'autre...

Et mon PC me paraît beaucoup plus rapide!

Vous pensez qu'il n'est plus infecté?

moment de grace
 Posté le 27/11/2010 à 18:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

pour moi il ne l'ai plus à la vue des rapports

néanmoins teste le un peu et dis moi demain si tout est ok

nous finaliserons alors...

Camg
 Posté le 28/11/2010 à 14:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour!

Je retrouve mon ordi en parfait état. Toujours rien à signaler.

Je pense que l'infection est partie

moment de grace
 Posté le 28/11/2010 à 17:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

ok

pour finir

1)

Mettre à jour la Console Java ? :

http://www.java.com/fr/download/installed.jsp

et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version).

voici pour desinstaller :

JavaRa

http://raproducts.org/click/click.php?id=1

Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).

* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa.

* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).

* Choisis Français puis clique sur Select.

* Clique sur Recherche de mises à jour.

* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.

* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.

* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.

* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.

* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.

* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

………….

2)

• Lancez Adobe Reader

• Cliquez sur Edition --> Préférences --> JavaScript

• Décochez "Activer Acrobat JavaScript"

• Validez

………………..

3)

IMPORTANT

Purger les points de restauration système:

Télécharge OneClick2RestorePoint

http://www.multifa7.be/Laddy/OneClick2RP.exe

Mirroirs si non accessible :

http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe

http://www.box.net/shared/cqcsz5m0oz

• Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Executer en tant qu'administrateur sous Vista/Seven)

• Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir

• Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...

Rends toi dans l'onglet "Autres options"

• Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.

• Les points de restauration système seront purgés sauf le dernier créé.

Ensuite avec le même outil

Créer un nouveau point de restauration reconnaissable

……………..

4)

Télécharge DelFix sur ton bureau.

http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

1. Lance le, choisis le bouton SUPPRESSION

2. Patiente pendant le scan jusqu'à l'ouverture du rapport.

3. Copie/Colle le contenu du rapport dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\DelFixSearch

.............

Recommandations pour l’avenir

Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation…Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes…

- logiciels non à jour (windows, internet explorer, java, adobe reader etc)

- installation de toolbar

- fréquentation de sites piégés

- P2P

- Application de cracks

- Supports usb

Pour t’aider dans cette tâche, voici quelques pistes

Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur firefox

http://www.mozilla-europe.org/fr/firefox/

Une fois que c'est fait, lances le et installe l’extension de sécurité adblock plus

pour bloquer les publicités

http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

……………………….

WOT - Extension pour ton navigateur internet :

Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :

Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/3456

Pour internet explorer : http://www.mywot.com/en/download/ie

……………………

Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !

……………………..

Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX)

http://www.teamxscript.org/usbfixTelechargement.html

Au menu principal, choisis l'option 3 (Vaccination).

……………………….

garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan

…………………..

Pour savoir si ton PC est à jour utilise Sécunia

http://www.donnemoilinfo.com/sujet/Securiser/secunia-personal-inspector.php

https://forum.pcastuces.com/tutoriel_secunia_psi-f25s53229.htm

...............

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :

http://www.pcastuces.com/logitheque/ccleaner.htm

***Crée dans tes documents ou sur une autre partition un dossier nommé " Sauvegarde CCleaner ' qui te servira lorsque tu passereras sur l'onglet "Registre" afin de sauvegarder des éventuelles erreurs.En générale tu peux vider ce dossier toutes les 48 heures si le PC ne présente pas d'anomalie(s)***

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....

* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.

* Ensuite, choisis Registre, puis Chercher des erreurs.

Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse

……………………..

utilitaire pour défragmenter , utilises pour ce faire Defraggler http://www.clubic.com/telecharger-fiche44314-defraggler.html

……………………

A lire pour mieux comprendre l’environnement qui t’entoure

http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

http://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf

http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
13,90 €Prise connectée Wi-Fi TP-Link HS100 à 13,90 €
Valable jusqu'au 05 Décembre

Amazon fait une promotion sur la prise intelligente Wi-Fi TP-Link HS100 qui passe à 13,90 € alors qu'on la trouve habituellement autour de 20 €. Cette prise peut être contrôlée à distance en utilisant l'app gratuite KASA sur votre smartphone (iOS ou Android).

Vous pouvez créer des planifications horaires pour allumer ou éteindre automatiquement et quand vous le souhaitez, l'appareil qui y est branché (votre sapin par exemple #127876;) .

Pour en savoir plus, n'hésitez pas à lire notre dossier pratique Contrôler une prise électrique à distance.


> Voir l'offre
40,99 €Carte mémoire microSDXC SanDisk 256 Go pour Nintendo Switch à 40,99 €
Valable jusqu'au 04 Décembre

Amazon propose actuellement la carte mémoire microSDXC 256 Go pour Nintendo Switch à 40,99 € alors qu'on la trouve ailleurs à partir de 60 €. Cette carte mémoire offre des vitesses jusqu'à 100 Mo/s et vous permet d'ajouter 256 Go de stockage pour vos jeux sur la console Nintendo Switch. 


> Voir l'offre
83,40 €Boîtier PC ATX Fractal Design Meshify C à 83,40 €
Valable jusqu'au 04 Décembre

Amazon propose actuellement le très bon boîter moyen tour Fractal Design Meshify C à 83,40 € livré gratuitement alors qu'on le trouve ailleurs à plus de 109 €. Intelligemment conçu, le boîtier Meshify C de Fractal Design s'adresse avant tout à toutes les personnes recherchant un boîtier silencieux prêt à recevoir un système puissant et expansible de refroidissement par air ou par liquide mais également à ceux qui recherche un boîtier au look ravageur. 

Combinant design, espace et aération, le Meshify C peut accueillir jusqu'à jusqu’à 2 disques durs 3.5" HDD/SSD (et 3 x 2.5" SSD), une alimentation ATX, une carte graphique de plus de 315 mm et des possibilités de refroidissement allant de 7 ventilateurs de 120 mm ou 140 mm à du watercooling (240 mm au dessus, 360 mm en façade).


> Voir l'offre

Sujets relatifs
mon antivirus ne détecte rien et spy hunter 4 866 ?
Antivirus action
Antivirus Action
AntiVirus Action
suprimer antivirus action
antivirus action
Supprimer Antivirus Action
supprimer antivirus action
Antivirus action
antivirus avast
Plus de sujets relatifs à Antivirus Action et Spy hunter
 > Tous les forums > Forum Sécurité